AD域服务器配置手册.docx
《AD域服务器配置手册.docx》由会员分享,可在线阅读,更多相关《AD域服务器配置手册.docx(15页珍藏版)》请在冰豆网上搜索。
AD域服务器配置手册
WindowsTerminalService
终端服务器安装配置文档
1
一:
将服务器提升为域服务器
如果你的Win2003高级服务器版,没有升级到域控制器,就是
nt下常说的dc。
在
开始菜单的管理工具中选择“配置服务器”。
next
选择“activedirectory”。
下一步
2
选择“启动activedirectory向导”。
next
3
next
默认即可。
next
next
4
next
这里指定一个dns名
机子会去搜寻dns服务器,next
5
我的输入"kelaode",你们自定。
默认得,next
6
next
确定。
7
这里我不配置dns,根据自己的情况配置。
next
默认即可。
next
8
next
next
9
这个需要一些时间。
完成。
重起。
10
二:
用户登录
1:
设置策略组
添加受策略控制组时注意画圈位置,必须使用“应用组策略”,否则策略不能生效
11
右面,可以继续“添加”受此策略控制的组,该组现可管理“政治处”和“指挥处”两个组
12
2:
编辑策略组
交互登录设置
(1)编辑本地策略(如在“管理策略”),添加“通过终端服务容许登录”和“允许本地登录“
(2)打开“开始---管理工具----域安全策略”中添加“通过终端服务容许登录”和“允许本地登录“(下图)
13
(3)打开“默认域安全策略”,在下图中添加远程登录的组
14
此时,即可已完成交互登录的设定!
受策略控制组的权限设定
1:
Netmeeting禁止文件发送设定
15
2:
在“管理模板—资源管理器”中做磁盘访问权限设定,网上邻
居中不显示“整个网络“等的设定
磁盘访问设定
16
隐藏磁盘设定
17
禁用注册表设定,禁用命令提示符,禁止自动播放等在“系
统”中如图设定
18
桌面禁用“我的文档、我的电脑、回收站”等属性设定,
在“用户配置---管理模板---桌面”中如下配置
19
控制面板设定
1、完全禁用控制面板设定,将“禁止访问控制面板“起用”即可!
20
2、控制面板部分禁用设定,不起用“禁止访问控制面板”,然后
在起用“直显示指定控制面板程序”,并添加相应的程序名,只
显示“键盘、鼠标和字体”等设定如下
21
如,添加intl.cpl为只显示“字体”,添加main.cpl为显示键盘和鼠标!
设置后效果如下图:
控制面板程序对照表(见最后附加表)
22
禁止添加删除程序设定,如下图:
打印机添加设定
在“控制面板——打印机”中,可进行禁止用户添加、删除打印
机设定,如下图
23
Ctrl+Alt+Del设定
使用Ctrl+Alt+Del时,只显示“注销“的设定
24
任务栏和开始菜单设定
禁用网络连接、禁用帮助、禁用运行的设定,将“注销“添加到开始
菜单的设定,开始菜单中不显示用户文件夹设定
图一
25
图二
在此我们可以对开始菜单进行必要的设定,如为了安
全我们可以在开始菜单禁止使用“运行菜单”、禁止访问关
机命令等可能会危及系统的工具和命令!
网络设定
禁止普通用户访问Tcp/IP高级设置,禁用新建连接,禁止访
问LAN连接属性等的设置
26
文件夹重定向
1.网络设定:
注意DNS设定!
27
2.重定向文件夹权限设定
此处注意,最好加入DomainUser的共享权限(默认为Everyone)为完全控制,否则会发生不能重定向的现象。
(出现的问题为:
访问被拒绝,或不能决定重定向类型)
3.文件夹重定向设定
28
3-1ApplicationDate重定向
注意:
此处设定时安全组为DomainUser,根路径为重定向文件服务器的共享目录!
文件夹位置处默认为“在根路径为每用户创建一个文件夹)上见图片圆圈处!
3-2桌面重定向、我的文档重定向等(同图3-1)设定!
3-3开始菜单重定向
由于目标文件夹位置没有“在根路径为每用户创建一个文件
29
夹”项,所以在路径处输入为“\\vip\share\%username%”,此时用户
的开始菜单便只会存在于用户目录下!
如果仅输入“\\vip\share”则
会使用户的开始菜单为公共目录,每个人的个性设定就会影响到其他
人!
4.重定向后的问题
如图所示,重定向后开始菜单
会有公共文件夹出现,如果不想看见,可通过
30
终端服务器负载均衡
设置终端服务器的负载均衡有两种方法。
在域控制器中的DNS设置IP轮询。
终端服务器中设置网络负载均衡或使用网络负载平衡管理器;
以上方法均可实现终端服务器的负载均衡。
并且都可以实现终端客户机和终端服
务器失去连接后,自动和其它终端服务器连接,终端服务器的NLB和负载平衡
管理器重新连接的速度要比DNSIP轮询快些
方法一:
设置域控制器的DNS轮询
在域控制器的DNS设置中,正向查找区域相应位置增加主机。
名称cluster是终
端客户访问终端服务器的名称,IP是第一台终端服务器的IP地址。
31
再增加一台主机,名称同样为cluster,IP为第二台终端服务器的IP地址。
32
方法二:
设置终端服务器NLB
NLB设置有两种方法:
1、管理工具-网络负载平衡管理器;2、在终端服务器
的网卡设置中直接设置。
在终端服务器的网卡上设置NLB操作步骤较少。
在终端服务器1的网卡上启用网络负载均衡,并选择属性。
输入NLB集群的虚拟IP地址和名称,
192.168.112.103
255.255.255.0
Cluster.domain.local
如果是单块网卡,选择多播,否则NLB无法工作。
主机参数中输入优先级(每终端服务器唯一)、本机网卡的IP设置。
33
在此网卡的TCP/IP属性中选择高级,添加NLB虚拟IP地址,此处为
192.168.112.103
34
在终端服务器2上完成同样配置
35
此时,终端客户可以通过虚拟IP地址192.168.112.103访问终端服务。
如需要通过虚拟主机名访问,需在域控制器的DNS设置中增加一条主机记录。
域控制器的DNS设置中增加一条主机记录。
名称:
cluster;IP:
192.168.112.103。
36
主机记录增加完成后,选择cluster记录的属性,选择安全。
增加终端服务器nlb1
和nlb2,同时添加写入权限给此二台终端服务器。
1.1.1SessionDirectory配置
配置会话目录的目的是当终端服务器和终端客户机的连接断开后,终端客户机重新登录时,此时由于有多台终端服务器,会话目录保证断开连接的终端客户可以连接到正确的终端服务器,使终端客户连接到断开前的会话。
会话目录设置分为服务器设置和终端服务器上的设置。
在域控制器中,启动TerminalServicesSessionDirectory服务。
37
ActiveDirectory用户和计算机中,找到SessionDirectoryComputers用户组,在组中增加nlb1和nlb2,使终端服务器可以使用SessionDirectory
在终端服务器nlb1上,选择终端服务配置-服务器设置-会话目录上右键选择
38
属性。
选择加入会话目录,在集群名中填入cluster.domain.local,会话目录服务
器名中填入win2003。
在nlb2终端服务器进行同样设置。
39
会话目录设置完成
将终端服务器加入sessionderictory组里面后,在域控制器上用负载均衡管理器
检查是否所有节点是否被激活,里面会看到具体的状态。
附加控制面板程序对应表
运行程序
运行命令
辅助功能选项
access.cpl
添加硬件向导
hdwwiz.cpl
添加或删除程序
appwiz.cpl
自动更新
wuaucpl.cpl
计算器
calc
日期和时间属性
timedate.cpl
显示属性
desk.cpl
游戏控制
joy.cpl
Internet属性
inetcpl.cpl
ODBC数据源管理器
odbccp32.cpl
电话与调制解调器选项
telephon.cpl
电源选项属性
powercfg.cpl
打印机和传真
controlprinters
区域和语言选项
intl.cpl
扫描仪与相机
sticpl.cpl
声音和音频设备属性
mmsys.cpl
辅助工具管理器
utilman
Windows防火墙
firewall.cpl
Netware客户端连接
Nwc.cpl
邮件
Mlcfg.cpl
传真向导
Fax.cpl
写字板
write
40